Die Auswirkungen des Cyberangriffs auf SolarWinds
Aufbau eines Null-Vertrauensrahmens für Sicherheit
Der Cyberangriff auf SolarWinds, der letzte Woche bekannt gegeben wurde, fügte eine Schwachstelle (SUNBURST) in die Software der Orion®-Plattform ein. Dieser Angriff hat zahlreiche US-Behörden und Technologieunternehmen in eine Krise gestürzt. Microsoft gab am Freitag, den 18. Dezember, bekannt, dass mindestens 40 seiner Kunden betroffen sind, 80 Prozent davon in den USA. Der Angriff über die Hintertür SUNBURST wirft ein Schlaglicht auf kritische Fragen in Bezug auf bewährte Sicherheitspraktiken sowohl bei Kunden als auch bei Softwareanbietern. Er erinnert uns daran, dass wir alle eine Rolle spielen müssen, wenn es darum geht, uns selbst und unseren Arbeitsplatz vor diesen Schwachstellen zu schützen, insbesondere jetzt, wo die Versuchung größer ist, die Sicherheit für eine einfachere Verbindung zu opfern.
Es ist ein großes Problem, dass wichtige Systeme automatisch aktualisiert werden und überhaupt eine Verbindung zum Internet herstellen können. Der Kunde muss das Vertrauen, das er in einen Softwareanbieter setzt, gründlich überdenken. Implizites Vertrauen ist in der heutigen hypervernetzten Welt ein Fehler, und dieser Vorfall zeigt, dass es notwendig ist, eine erweiterte Mentalität der gemeinsamen Verantwortung anzuwenden, um das Vertrauen zu überprüfen.
Eine Verhaltensanalyse der Software, sobald sie installiert ist, ist eindeutig erforderlich. Die Cybersicherheitsbranche lässt Malware in einer hochgradig instrumentierten Sandbox-Umgebung laufen, um ihr Verhalten zu verstehen, wie sie sich mit ihren Command-and-Control-Servern (C2s) verbindet und wie ihr seitliches Verbindungsverhalten aussieht. Es liegt auf der Hand, dass ein Kunde davon profitieren würde, wenn er dasselbe für vertrauenswürdige Software tun würde. Im Fall von SolarWinds meldete sich der infizierte Host bei externen Systemen, mit denen er sich in der Vergangenheit nie verbunden hatte. Dabei handelte es sich um Systeme mit unterschiedlichen Hostnamen, aber einer gemeinsamen Domäne, in diesem Fall avsvmcloud.com, sowie um Standorte und Netzwerke, mit denen dieser Host zuvor nicht verbunden war. Es ist wichtig, dieses Verhalten sowohl auf dem Host als auch auf der Leitung zu beobachten, um sicherzustellen, dass das Sicherheitsteam ein umfassendes Verständnis (Host und Netzwerk) des auftretenden Verhaltens hat. Dies ist besonders wichtig, wenn diese Angriffe, einschließlich SUNBURST, absichtlich Überwachungstools deaktivieren, um sich der Entdeckung zu entziehen. Mehrere Überwachungstools und -methoden sind wünschenswert.
Diese Art von Verbindungsverhalten ist zwar von Natur aus periodisch und wenig umfangreich, aber es ist wichtig zu verstehen, WANN so etwas passiert und wie man es bekämpfen kann. Auch in diesem Szenario wurden seitliche Verbindungsversuche unternommen, um weitaus interessantere Daten zu finden. Sollten diese Systeme zu diesem Zweck jemals seitliche Verbindungen zu internen Systemen herstellen? Wahrscheinlich nicht.
Der Softwarehersteller muss in diesem Fall die Systeme im Netz der Lieferkette sehr genau überwachen. Das Verhalten der Systeme, die für die Verteilung der Software an die Kunden verwendet werden, die Systeme, die den Quellcode beherbergen, und die Systeme, die mit dem Quellcode arbeiten dürfen, sollten jederzeit auf Anomalien überwacht werden. Es liegt auf der Hand, dass das "Dogfooding" Ihrer eigenen Software als Anbieter von entscheidender Bedeutung ist. Wer ist besser in der Lage, diese Art von anormalem Verhalten zu finden, als der Hersteller der Software selbst? Wird sich dadurch die Zeit bis zur Fertigstellung einer neuen Version verlängern? Natürlich, aber wenn wir von SUNBURST lernen und die Überwachungszeit über die Ruhephase von normalerweise zwei Wochen hinaus verlängern wollen, ist dies gut investierte Zeit, um sicherzustellen, dass so etwas Negatives und Weitverbreitetes weniger wahrscheinlich ist.
Es gibt kein Allheilmittel für alle Angriffe, aber die Anwendung bewährter Praktiken, wie z. B. ein Zero-Trust-Ansatz in Kombination mit einer gemeinsamen Verantwortungsmentalität, kann InfoSec-Experten im Kampf gegen Cyber-Bedrohungen helfen. Bei dieser Bedrohung wurde ein vertrauenswürdiger Anbieter mit einem ausgeklügelten Angriff angegriffen, bei dem sich ungewöhnliche Aktivitäten zeigten, die von einer vertrauenswürdigen Infrastruktur innerhalb des Netzwerks ausgingen. Daher ist ein Zero-Trust-Framework, das die Überwachung ausgehender Verbindungen und die Zugriffskontrolle von Systemen hinter der Firewall-Infrastruktur sowie die laterale (Ost-West-) Überwachung kritischer vertrauenswürdiger Infrastrukturen umfasst, von entscheidender Bedeutung. Da sich Angriffe häufig in SSL/TLS verschleiern, um nicht entdeckt zu werden, sollte die Entschlüsselung ausgehender Verbindungen für alle Sicherheitsgeräte in den Daten- und Verwaltungsnetzen ebenfalls höchste Priorität haben.
Wird dies der letzte Anschlag dieser Art sein? Nein, die Motivation und die potenziellen Belohnungen für die Täter sind zu wertvoll für sie, und sie sind geduldig. Außerdem werden die Angriffe immer raffinierter, und als globale InfoSec-Gemeinschaft müssen wir alle unseren Teil dazu beitragen, unsere Verteidigung zu verstärken, zu wissen, wie sich unsere Netzwerke verhalten bzw. miteinander interagieren, und sicherzustellen, dass wir bewährte Praktiken befolgen, und zwar sowohl von Anbietern als auch von Kunden.
Null Vertrauen: Schutz der Nutzer vor Cyberangriffen
Verbesserung der Sicherheit von Netzen gegen moderne Cyberangriffe, unabhängig davon, ob sie von außen oder von innen initiiert werden. Da jedoch der Großteil des Internetverkehrs verschlüsselt ist, wird es immer schwieriger, das Zero-Trust-Modell wirksam umzusetzen.